پنج قابلیت بازرسی TLS که در فایروال نسل بعدی به آن نیاز دارید

افزایش سریع ترافیک رمزگذاری شده شبکه ، همراه با کم شدن قابلیت بازرسی این ترافیک در فایروال های نسل بعدی NGFW ، یک طوفان امنیتی ایجاد کرده است. طوفانی با عواقب وخیم امنیتی برای سازمانها و کسب و کارها . بیش از 90 درصد ترافیک داده در اکثر شبکه ها رمزگذاری شده است و این ترافیک بدون فیلتر ، به طور کامل از یک فایروال رایج عبور می کند.

در این مقاله اینکه چگونه رمزگذاری بیشتر فایروال های نسل بعدی را کم اثر کرده ، چالش ها در بازرسی TSL و همینطور پنج قابلیت بازرسی SSL که برای پر کردن این شکاف امنیتی نیاز دارید ، آمده اند .

رمزگذاری ، حریم خصوصی ایجاد می کند نه امنیت

مردم اغلب بر این باورند که اتصالات اینترنتی رمزگذاری شده “امن” هستند. اما دقیقا “ایمن” از چه؟

امنیت لایه انتقال TLS (Transport Layer Security) ، استاندارد رمزگذاری مورد استفاده در اینترنت می باشد. اصطلاحات SSL و TLS ، اغلب به جای یکدیگر استفاده می شوند. در واقع، SSL یک استاندارد قدیمی تر از TLS می باشد و تحت پوشش TLS قرار می گیرد. با این حال ،SSL اصطلاح رایج تری می باشد. فقط بدانید که بیشتر مردم وقتی می گویند SSL منظورشان TLS است.
TLS با هدف ایجاد محرمانگی و اعتبار ، به روش رمزگذاری بین دو طرف یک ارتباط ایجاد شده است. همینطور TLS ، بر اساس گواهی نامه سرور و اینکه از کجا صادر شده است ، هویت سرور را تایید و یا رد می کند. نماد قفل در مرورگر نشان می دهد که اتصال اینترنت برای حفظ حریم خصوصی رمزگذاری شده است .



رمزگذاری TLS ، محتوای صفحه وب را ایمن نمی کند . بنابراین یک سایت میزبان بارهای بدافزار می تواند یک اتصال رمزگذاری شده و “ایمن” کاملا معتبر داشته باشد.
وقتی کسی ادعا می کند که اتصالش به وب سرور امن است، در واقع فقط در برابر استراق سمع کردن محفوظ می باشد .

TLS یک پروتکل بسیار پیچیده می باشد و همین چالشی برای بازرسی TLS است. باید گواهی های مختلف مبادله شود و مجموعه های رمزنویسی شده مورد استفاده باید مورد مذاکره قرار گیرند تا نحوه رمزگذاری اتصال مشخص شود . علاوه بر این، نسخه های متعددی از  TLS و اپلیکیشن های بسیار  و همینطور سرویس های وب هستند که این کار را به روش های متنفاوت انجام می دهند.
در نتیجه، علیرغم داشتن استانداردهای دقیق ، ممکن است که همه چیز ناسازگار باشد.

اهمیت TLS 1.3

استاندارد TLS 1.3 ، که در حال حاضر جدیدترین نسخه استاندارد TLS می باشد ، چندین مزیت نسبت به ورژن های قبلی در حوزه عملکرد، حریم خصوصی و رسیدگی به آسیب‌پذیری‌ها دارد .

بازرسی TLS 1.3 برخلاف ادعاهایی که می گویند قابل بازرسی نیست ، کاملا قابل بازرسی می باشد . در حالی که در TLS 1.3 بازرسی  TLS ، که در ورژن های قبلی در خطوط کناری انجام شد، دیگر امکان پذیر نیست. در این ورژن با مشارکت یک نقطه پایانی ، همانطور که در یک شبکه شرکتی دارید ، بازرسی به طور کامل انجام می شود .

ادعای اشتباه دیگر در مورد  استاندارد TLS 1.3 این است که با بازرسی جریان های ترافیک رمزگذاری شده، به نوعی امنیت آنها را کاهش می دهد . این درست است اگر اتصال TLS 1.3 را به TLS 1.2 تنزل دهید، همانطور که امروزه بسیاری از راه حل های بازرسی TLS انجام می دهند. آسیب پذیری های موجود در TLS 1.2 دری را برای سوء استفاده احتمالی حملات مرد میانی (MITM) باز می کند.



TLS 1.3 برای رفع آسیب‌پذیری‌های حمله MITM  ، بدون کاهش رتبه اتصال طراحی شده است .

حجم ترافیک رمزگذاری شده به 100٪ نزدیک می شود

اکثر اتصالات اینترنتی اکنون کاملاً رمزگذاری شده اند. در واقع، در اکثر پلتفرم ها، بیش از 90 درصد سژن های وب ، اکنون طبق گزارش شفافیت گوگل رمزگذاری شده است .این افزایش چشمگیر از حدود 60٪ رمزگذاری فقط در طول دو سال رخ داده است .

آیا رمزگذاری منجر به ناکارآمدی فایروال می شود ؟

رشد چشمگیر در ترافیک رمزگذاری شده نقطه کور امنیتی عظیمی را برای آن ایجاد کرده است . فایروال های موجود فعلی در اکثر سازمان ها ، به سادگی قادر به بررسی این حجم عظیم از سژن های رمزگذاری شده نیستند . در واقع  ، رمزگذاری TLS اکثر فایروال ها را بی ربط کرده است ، زیرا آنها دیگر بینشی در مورد اکثر ترافیک عبوری از شبکه ندارند .

خطر واقعی تهدیدهایی است که در ترافیک رمزگذاری شده پنهان می شوند . با رشد انفجاری در رمزگذاری TLS در سال های اخیر ، احتمالاً جای تعجب نیست که هکرها و
مهاجمان این روند را دنبال و از آن برای برپایی و نگهداشت بدافزار در شبکه استفاده می کنند.

در طول سال گذشته حملات باج افزار به طور خاص با استفاده از TLS ، به ویژه در باج‌افزارهایی که به‌صورت دستی مستقر می‌شوند افزایش یافته است .شاید تا حدی به این دلیل می باشد که مهاجمان سایبری از ابزارهای مدولار رمزگذاری شده استفاده می کنند.اما اکثر ترافیک مخرب TLS از بدافزارهای مخرب اولیه نشات می گیرد مانند : لودرها (Loaders ) ، دراپرها (Droppers) و نصب کننده های مبتنی بر اسناد که برای بازیابی بسته های نصبی خود به صفحات وب ایمن بازمی گردند.

دراپر (Dropper):برنامه های مخربی که قابلیت اجرای دیگر مالور ها (malware) ها را دارند. دراپر ها تا زمانی که دسترسی به اینترنت نداشته باشند خطرناک نیستن ولی زمانی که به سرور خود متصل شوند دیگر برنامه مخرب را وارد رایانه شما می کنند.

اکنون تقریباً همه تهدیدات از طریق اتصالات رمزگذاری شده وارد شبکه شده اند . هنگامی که تهدیدی وارد شبکه می شود ، از هر ترفندی استفاده می کند تا شناسایی نشود. استفاده از TLS اجازه می دهد دستوراتی که از سرورهای کنترلی به کلاینت فرستاده می شوند تا ناشناس باقی بمانند ، در عین حال باعث پنهان ماندن اطلاعات جمع آوری شده از شبکه و همچنین هرگونه بارگیری دیگر در میزبان در معرض خطر شوند.
جای تعجب نیست که در سال گذشته رشد چشمگیری در بدافزارهایی که از TLS برای پنهان کردن آن استفاده می‌کنند ، وجود داشته است.
در سال 2020، 23 درصد از بدافزارهای شناسایی شده با یک سیستم ریموت اینترنت از TLS استفاده می کردند. این آمار در حال حاضر ، نزدیک به 46 درصد است.

هکرها همچنین شروع به میزبانی محتوای مخرب در سرویس های اشتراک گذاری قانونی مانند Discord، Github، و Google Cloud که از رمزگذاری TLS برای اطمینان از حفظ حریم خصوصی محتوا استفاده می کنند ، کرده اند.

فقط تهدیدها نیستند که از رمزگذاری برای ناشناس ماندن استفاده می کنند. برنامه های بالقوه ناخواسته مانند ابزارهای جاسوسی، ابزارهای تبلیغاتی مزاحم ، نوار ابزار مرورگر و همچنین کلاینت های اشتراک گذاری فایل نظیر به نظیر و ابزارهای اجتناب از پروکسی نیز از رمزگذاری استفاده می کنند .

 پنج قابلیت برتر TLS Inspection

برای به حداقل رساندن خطر ترافیک شبکه رمزگذاری شده، اطمینان حاصل کنید که فایروال نسل بعدی شما ، شامل این پنج قابلیت برتر TLS Inspection است:

  • یک موتور بازرسی مدرن با عملکرد بالا که از آخرین استانداردها مانند TLS 1.3 پشتیبانی و به طور موثر در تمام پورت ها/پروتکل ها برای شناسایی ترافیک مخرب و تهدیدات کار می کند.
  • فهرست‌های از پیش بسته‌بندی شده حذف هوشمند که به‌صورت پویا به‌روزرسانی می‌شوند تا از قطع اینترنت برای سایت‌ها و سرویس‌هایی که پشتیبانی نمی‌ شوند و یا نیازی به رمزگشایی ندارند ، جلوگیری شود.
  • قابلیت مشاهده پنل کاربری جریان های ترافیک رمزگذاری شده و مشکلات احتمالی ناشی از ناسازگاری سایت‌ها و سرویس‌هایی که به شما امکان می‌دهند استثنائات را قبل از تبدیل شدن به یک مشکل اضافه کنید.
  • تقویت تأییدیه گواهینامه هایی که قادر به رسیدگی گواهینامه های نامعتبر ، باطل شده و یا غیرقابل اعتماد مانند گواهی هایی برای جلوگیری از حملات مخرب احتمالی Man-in-the-Middle (MITM).
  • اعتبار ابزارهای خط مشی در جهن حریم خصوصی کاربر، امنیت سازمانی و عملکرد شبکه برای ایجاد تعادل کامل نیازها